通常我們都會以CVSS分數決定等級處理,來仔細看一下說明
https://nvd.nist.gov/vuln-metrics/cvss
The Common Vulnerability Scoring System (CVSS) is a method used to supply a qualitative measure of severity.
是定性測量(qualitative measure),隨然有分數(定量),但最終分數可因環境等因素,人為修改分數
CVSS is not a measure of risk.
要注意,CVSS 不測量漏洞實際帶來的風險。它評估漏洞的嚴重性
CVSS consists of three metric groups: Base, Temporal, and Environmental.
我們看到的數字是Base,沒有包含環境等變因
| CVE | CVSS3 | Description |
|---|---|---|
| CVE-2023-26369 | 7.8 | Acrobat Reader out-of-bounds write vulnerability |
CVE-2023-26369,cvss評分7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-26369
在Tenable(VPR)評分9.2,
https://www.tenable.com/plugins/nessus/181276SADFAS
從記錄中看到
版本1.2
Exploit available" set to "True 表示可被利用
版本1.3
STIG Severity (set to "I") 美國國防部的安全技術實施指南將該問題列為一類(直接立即導致機密性、可用性或完整性喪失的任何漏洞)
參考商用軟體,他們把是否被利用當作調高分數的依據,的確如果一般駭客都可以從Github等管道拿到攻擊程式,就可能有更多人去做刺探場域是否有該問題,另外是否會影響C.I.A,也可以自己在判斷時也可以將此列入分數調整依據
可以用以下計算機去修改成符合自己環境的分數
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-26369&vector=AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H&version=3.1&source=Adobe%20Systems%20Incorporated
iThome鐵人賽
看影片追技術